Los documentos de Panamá en relación con ISO 27001
ISO 27001
La norma ISO 27001 es un estándar internacional que se ha emitido por la Organización Internacional de Normalización y describe cómo gestionar la seguridad de la información en una organización. La revisión más reciente de esta norma ha sido publicada en 2013 y ahora su nombre completo es ISO IEC 27001 2013. La primera versión fue publicada en 2005 y se desarrolló en base a la norma británica BS 7799-2.
La norma ISO 27001 puede ser implantada en cualquier tipo de empresa, con o sin fines de lucro, privada o pública, pequeña o grande. Se encuentra redactada por los mejores especialistas del mundo en seguridad de la información, además facilita una metodología para implementar la gestión de la seguridad de la información en una empresa. También permite que una organización se encuentre certificada, esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implantada en esa organización bajo el cumplimiento de los requisitos que establece la norma ISO 27001.
La norma ISO 27001 se ha convertido en la principal norma a nivel mundial en cuanto a la seguridad de la información y muchas organizaciones han certificado su cumplimiento, por lo que la cantidad de certificados se han incrementado mucho en los últimos años.
En la actualidad hemos comprobado los problemas que han traído los papeles de Panamá, en los que se encuentran involucradas muchas personas. El incumplimiento es muy significativo, ya que en los papeles de Panamá se detallan todos los paraísos fiscales de ultramar para muchas de las personas más ricas y poderosas de todo el mundo. Los periodistas han comenzado a destripar los 11,5 millones de documentos confidenciales que se filtraron, ya hemos podido ver que el ministro de Islandia y el primer ministro de Inglaterra han sido objeto de acusaciones.
Esta historia puede ser muy importante para muchas organizaciones y para los clientes de dichas organizaciones. Mientras que la historia se encuentra en plena evolución, se han encontrado dos cosas muy interesantes sobre el primer examen realizado:
- El incumplimiento ha sido el resultado de la realización de unas malas prácticas en cuanto a la seguridad de información. Se pensó que un plugin de WordPress sin parche puede ser el motivo por el que se pudo acceder a todos los documentos. Lo peor es que el servidor web no se encuentra protegido por un firewall, estaba siendo utilizada para servir a los datos del cliente, y estaba en la misma red que los servidores de correo de la organización.
- Se promueve el hecho de la utilización de la norma ISO 9001 en lugar de utilizar la norma ISO 27001.
Si las organizaciones hubieran decidido seguir los requisitos de la norma ISO 27001 en lugar de la norma ISO 9001 desde el año 2010, ¿Se hubieran producido el incumplimiento de los documentos de Panamá? Puede ser, pero es poco probable.
La norma ISO 27001 requiere de una firma para identificar la información crítica que representa un riesgo notable. Para la mayoría de organizaciones que cuentan con datos de los clientes, la ISO 27001 exige que las organizaciones evalúen el riesgo asociado de forma que sea consciente de las expectativas que genera el cliente, las leyes y los reglamentos pertinentes, además del apetito de riesgo por la alta dirección.
Durante todo el proceso de implementar la norma ISO 27001, los riesgos que plantean estos documentos han sido evaluados y los siguientes casos es posible que se dieran:
- Asuntos no corrientes que habían sido preparados, archivados y protegidos.
- El servidor de correo habría sido separado desde el servidor.
- El servidor web se habría encontrado detrás de un firewall.
- El portal de funcionalidad habría sido segregado en la funcionalidad del servidor web.
- Prácticas de vulnerabilidad y gestión de la configuración para que sea optimizado, para incluir parches de forma oportuna en los sistemas expuestos por internet.
Existen lamentables decisiones, como pudo ser continuar con la norma ISO 9001 pensando que le protegería igual que la norma ISO 27001. Es necesario proteger tu organización frente a todos los ataques a los que estamos expuestos en la actualidad, mucho más si en nuestra organización tenemos documentos muy importantes o datos personales de nuestros clientes. Un caso como este puede hacer que desaparezca nuestra organización, la que tanto trabajo nos ha costado construir.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.